netsarang的xmanager和xshell等遠端連接配接産品在日常安全運維中使用量不小,但不幸的是,近日安全公司發現官方釋出的軟體版本中,nssock2.dll子產品源碼被植入後門。綠盟科技釋出技術分析與防護方案,報告全文如下
netsarang是一家提供安全連接配接解決方案的公司,該公司的産品主要包括xmanager, xmanager 3d, xshell, xftp 和xlpd。最近,官方在2017年7月18日釋出的軟體被發現有惡意後門代碼,該惡意的後門代碼存在于有合法簽名的nssock2.dll子產品中。從後門代碼的分析來看,該代碼是由于攻擊者入侵的開發者的主機或者編譯系統并向源碼中插入後門導緻的。該後門代碼可導緻使用者遠端登入的資訊洩露。
virustotal線上檢測情況
由分析結果可以知道,nssock2.dll已經被多家防毒軟體識别為惡意的程式,
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiIn5GcuMXZul2ZuVWL2F2Ny8CXt92Yu4GZkV3bsNmLix2ZuAjeuETbvNmLvFzarh3Nvw1LcpDc0RHaiojIsJye.png)
相關位址:
https://www.netsarang.com/news/security_exploit_in_july_18_2017_build.html https://www.virustotal.com/#/file/462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8/detection
受影響的版本
xshell build 1322
xshell build 1325
xmanager enterprise build 1232
xmanager build 1045
xmanager build 1048
xftp build 1218
xftp build 1221
xlpd build 1220
不受影響的版本
xmanager enterprise build 1236
xmanager build 1049
xshell build 1326
xftp build 1222
xlpd build 1224
軟體下載下傳情況
存在後門的軟體在國内的下載下傳情況:
xmanager:
xshell:
概述
netsarang的主要軟體版本中發現nssock2.dll子產品的官方源碼中被植入惡意後門代碼,以下為惡意代碼分析。據悉,是黑客滲透到了開發的機器,然後在代碼中加入了惡意的代碼到官方的源代碼中!
參考:
https://www.virustotal.com/#/user/jumze/comments
傳播與感染
使用者直接下載下傳或軟體捆綁下載下傳。
分析環境
系統
windows 7, 32bit
使用工具
processmonitor, xuetr, wireshark, ollydbg, ida, cuteftp
綠盟威脅分析系統tac檢測報告評級為中危:
主要功能
[1] 資訊竊取:擷取目前計算機名稱和目前使用者名稱;
[2] 遠端控制:代碼中已經實作,但由于伺服器不存活,導緻資料無法解密執行
[3] 網絡行為:ip: 8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、目前計算機設定的dns伺服器位址; 向dns伺服器發送dns包。host: nylalobghyhirgh.com; 樣本将收集的資訊上傳到上述伺服器;
該惡意後門植入nssock2.dll子產品的源碼中,是一段被加密的shellcode。
這段shellcode被添加了一定量的花指令,刻意增加分析難度,去除花指令以後,可以發現其建立了一塊記憶體區,解密代碼并執行
新代碼段中,樣本建立了一個線程,之後就回到正常的程式流程中,使得使用者很難發現自己所使用的産品中存在後門。
線上程函數中,我們可以看到,樣本在不斷的擷取系統時間,根據系統時間的不同,計算出不同的域名。下圖為2017年9月生成的域名:
我們通過修改系統時間擷取到的域名情況如下:
時間
對應域名
2017-06
vwrcbohspufip.com
2017-07
ribotqtonut.com
2017-08
nylalobghyhirgh.com
2017-09
jkvmdmjyfcvkf.com
2017-10
bafyvoruzgjitwr.com
2017-11
xmponmzmxkxkh.com
2017-12
tczafklirkl.com
接着代碼會擷取目前計算機的名稱和計算機使用者名資訊。
經過如下算法加密後(輸入參數為a1,a2,a3,a4。a1=0,a3=0x2d(使用者資料的長度),a2=存放使用者資料的位址,a4=存放加密後的資料的位址):
結果如下:
然後再将結果進行加密
得到最終加密結果并且發送dns解析請求,将加密後的資料綴在域名前發送給攻擊者:
通過此種方法進行發送,具有極高的隐蔽性。
我們還發現,在代碼執行的過程當中,仍存在一段加密代碼,需要從伺服器端擷取密鑰來進行解密,目前情況下已無法進行解密。(密鑰存儲在a1,a2,調用時傳入的參數為a3,同樣是從伺服器擷取)
網絡行為
嘗試對這幾個位址進行連接配接8.8.8.8、8.8.4.4、4.2.2.2、4.2.2.1、目前環境下的dns伺服器位址。
根據時間不同,連接配接域名也不同。域名見表1。
如果連接配接域名成功,則将搜集到的資訊發送給出去,方式為通過dns請求将資料重定向到攻擊者自己的域名伺服器。
啟動方式
使用者下載下傳xshell并主動運作。
攻擊定位
通過對該樣本的網絡行為進行簡單的跟蹤,發現報告中8月份的域名在whois中查詢到的資訊如下:
其他資訊被申請者隐藏。
使用者可通過檢視的版本來确定是否受此影響:
在軟體安裝目錄下找到檔案,右鍵該檔案檢視屬性,如果版本号為則存在後門代碼:
使用者可通過檢視的nssock2.dll的版本号的方法來确定是否使用含有後門的軟體版本,如果使用者正在使用以上受影響的軟體版本,請更新到最新版本。官方在最新的軟體版本中已經移除了該後門代碼,最新的軟體版本分别為:
xmanager build 1049,
xlpd build 1224.
官方下載下傳位址如下:
https://www.netsarang.com/download/software.html
産品類
如果您不清楚是否受此漏洞影響:
1、内網資産可以使用綠盟科技的遠端安全評估系統(rsasv6)進行檢測。
遠端安全評估系統(rsas v6)
http://update.nsfocus.com/update/listrsas
2、綠盟威脅分析系統(tac)可以進行檢測。
http://update.nsfocus.com/update/listtac
通過上述連結,更新至最新版本即可進行檢測!
使用綠盟科技防護類産品(ips/ids)進行防護:
入侵防護系統(ips)
http://update.nsfocus.com/update/listips
入侵檢測系統(ids)
http://update.nsfocus.com/update/listids
通過上述連結,更新至最新版本即可進行防護!
服務類
綠盟科技提供專業的安全技術服務,全方位的保障客戶應用系統安全,避免受此漏洞影響。
短期服務:我們可以提供應急服務,服務内容包括對客戶應用系統有針對性的提供修複建議,保障客戶系統的安全更新。
中長期服務:結合綠盟科技檢測與防護産品,提供7*24的安全營運服務,在客戶應用系統遭到安全威脅時第一時間通知客戶,并定期進行安全檢測,針對安全風險提供專業的解決方案。
本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部内容。未經綠盟科技允許,不得任意修改或者增減此安全公告内容,不得以任何方式将其用于商業目的。
原文釋出時間:2017年8月14日
本文由:綠盟科技釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/netsarang-xmanager-xshell-backdoor
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站